Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Klient sypie pakietami... http://forum.freesco.pl/viewtopic.php?f=22&t=15210 |
Strona 1 z 1 |
Autor: | viater [ wtorek, 17 kwietnia 2007, 18:08 ] |
Tytuł: | Klient sypie pakietami... |
... ICMP echo request o długości 65520 B: (fajne, nie ?) [...] kernel: ARES: IN=eth1 OUT=eth0 SRC=x.x.x.x DST=217.73.202.6 LEN=65520 TOS=0x00 PREC=0x00 TTL=127 ID=19380 PROTO=ICMP TYPE=8 [...] Oczywiście podejrzewam ARESA, stąd nazwa logów. Wprawdzie mam: - więc te pakiety nie wychodzą na zewnątrz i nie blokują łącza do Internetu, ale za to generują zajebisty ruch wewnątrz sieci, normalnie ją zapychając. W dodatku obciążenie procka na serwerze skacze do 100%. Czy poza - przysłowiowymi już - szczypcami z bocznym cięciem, jest jakiś inny sposób na przyblokowanie gościa ? Bo nie chce mi się łazić tam, gdzie wpięty jest jego kabelek... W tej chwili nasuwa mi się tylko jedno - zablokować gostka w dhcp i arp, żeby nie miał IP w (pod)sieci lokalnej - wtedy w ogóle nie będzie miał dostępu nigdzie. Jakieś sugestie ? |
Autor: | phac [ wtorek, 17 kwietnia 2007, 19:47 ] |
Tytuł: | |
Mam u siebie goscia z Aresem ale takich logów nie mialem. Może zablokuj aresa. |
Autor: | rikardo7 [ wtorek, 17 kwietnia 2007, 20:15 ] |
Tytuł: | |
ja mam kilku i tez nic takiego nie zauwarzylem co prawda mam problem z uploadem na aresie ale prosby przyciecia uploadu na kompie usera skutkuja pozytywnie ![]() |
Autor: | -MW- [ wtorek, 17 kwietnia 2007, 21:54 ] |
Tytuł: | |
iptables -A FORWARD -m length --length 1501:65535 -j REJECT sterowanie ruchem sieci, chodzac po klientach i ustawiajac wielkosci transferow? to jakas inna metoda htb? i wszystkie dane w jednym pliku? ...... z adresami zamieszkania ![]() |
Autor: | viater [ wtorek, 17 kwietnia 2007, 22:11 ] |
Tytuł: | |
Ares czy inny wirus - co za różnica ? Podejrzewam akurat Aresa, bo z tego co mi wiadomo, to właśnie on odpowiada za pakiety o takiej długości, poza tym wiem na 100%, że akurat ten klient z Aresa korzysta... -MW- pisze: iptables -A FORWARD -m length --length 1501:65535 -j REJECT Czy DROP czy REJECT, to i tak jeśli klient bez opamiętania wysyła pakiety z docelowym adresem spoza sieci lokalnej (czyli najnormalniej w świecie flooduje sieć), to i tak muszą one przejść przez sieć, dotrzeć do serwera i zająć mu trochę czasu, zanim znajdą się tam, gdzie jest ta reguła... -MW- pisze: sterowanie ruchem sieci, chodzac po klientach i ustawiajac wielkosci transferow? to jakas inna metoda htb?
i wszystkie dane w jednym pliku? ...... z adresami zamieszkania ![]() - nie bardzo rozumiem ![]() |
Autor: | -MW- [ wtorek, 17 kwietnia 2007, 22:24 ] |
Tytuł: | |
nie bylo to do ciebie. ile tego ruchu jest? tcp czy udp? |
Autor: | viater [ środa, 18 kwietnia 2007, 00:27 ] |
Tytuł: | |
Nie logowałem wszystkiego, a w tych godzinach, kiedy to było, nie miałem możliwości odpalić iptrafa albo tcpdump. Z tego, co się zalogowało wynikałoby, że są to pakiety ICMP (8), a ruch jest taki (wnioskuję po wykresach mrtg), że wykorzystuje całe pasmo klienta (szczęście, że ma kartę 10Mbit, bo inaczej zatkałby sieć). Po prostu wygląda to tak, jakby klient wysyłał z maksymalną częstotliwością pakiet ICMP (8), co przy długości tego pakietu ponad 65000 B robi taki duży ruch. To mniej więcej tak, jak byś dał jako root z linuxa |
Autor: | -MW- [ środa, 18 kwietnia 2007, 00:31 ] |
Tytuł: | |
Cytuj: W tej chwili nasuwa mi się tylko jedno - zablokować gostka w dhcp i arp, żeby nie miał IP w (pod)sieci lokalnej - wtedy w ogóle nie będzie miał dostępu nigdzie.
ale ruch i tak w kablach bedzie generowal ![]() szczypce boczne ![]() |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |